Bankir.Ru
8 декабря, четверг 11:01

Объявление

Свернуть
Пока нет объявлений.

Как БИФИТ всех киданть хотел

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Как БИФИТ всех киданть хотел

    Хочу привлечь внимание на единственно серьезную реакцию некоего Cryptologa (ананоимности не приветствую, но по сути верно) на скандал с БИФИТ

    "
    БИФИТ! Единожды солгав, да кто тебе поверит.
    Восстановление секретного ключа (key recovery) - мечта ФАПСИ и иже с ними.
    Вы сами заявили что:
    1. Заключен Договор с ГУП "НТЦ "Атлас" и начаты работы по проведению экспертизы по оценке возможности компании "БИФИТ" осуществлять лицензируемые ФАПСИ виды деятельности, связанные с предоставлением услуг, техническим обслуживанием и распространением СКЗИ.
    2. Встраиваете сертифицированные ФАПСИ СКЗИ

    Из наличия т.н. ошибки можно сделать два вывода:
    1. Это действительно не баг, а фича, Вы же согнулись под ФАПСИ и сделали backdoor
    2. Вы безграмотны в области защиты информации и проглядели дыру в своей системе.

    В любом случае наскоро сделанная заплатка никаких гаранти качества защиты не дает. Тем более, что Вы не несете ответственности за надежность защиты, в отличие от некоторых других команий.

    Следовательно Вашим продуктам с Вашей криптографией КАЮК.
    "

    Хочу так же уже от себя заметить, что быть может первый вывод (о backdoor) не верен, но второй очевиден. Комапния БИФИТ не компетентна в области защиты информации. Следствия
    - В течение долгого времени использовалась гнилая система
    - Д. Репан ссылается на некую конфиденциальность, но это просто крик типа, "я хотел клиентов кидануть, а мне не дали какие все нехорошие"
    - Правило одна заплатка на скорую руку равно две новые дырки проверено временем
    - То что криптографии БИФИТА, как сказали КАЮК это точно
    - То что банкам долго отмываться тоже

  • #2
    Вот ответы на типовые вопросы, а то замучался на почту отвечать.

    ИСТОРИЯ СКАНДАЛА

    - ЛК нашли ошибку
    - ЛК связалось с БИФИТ и проинформировало о дыре
    - БИФИТ через 0.5 часа приехал в ЛК
    - Обсудили, ЛК предложило помощь БИФИТ отказался
    - Бифит нашел одну из дыр и залатал, объявил что все сделал сам
    - Бифит других дыр не увидел
    - ЛК конфиденциально сообщило бакнкам клиентам о взломе
    - Выяснилось Бифит проводил замену под видом upgrade
    - Приняли решение сказать правду.

    С ЧЕГО ВСЕ НАЧАЛОСЬ
    - Точных истоков указать не могу.
    - Меня попросили помочь
    - Мы с ребятами "помогли"
    - скорее всего кто то озаботился вопросом безопасности в "супердешевой" системе

    КАК НАСТРОЕНИЕ БИФИТА

    Бифит настроен сказать что больше ошибок нет
    - это не так
    - ГОСТ на подпись несмотря на заявления БИФИТА не приведен в соотвтетствие со стандартом
    - ошибка исправлена не так как надо
    - сейчас БФИФИТ пытается "отмыться" перед клиентами
    - я бы на месте клиентов ему не верил

    МОЖЕТ ЛИ БИФИТ СУДИТЬСЯ С ЛАН КРИПТО.

    - Исходные коды доступны бери и анализируй.
    - Привлечь можно БИФИТ за недобросовестную рекламу. Система не соответствует заявленным свойствам

    НА ЧЕМ ПРОКОЛОЛСЯ БИФИТ

    - Принцип не умеешь не берись - основной принцип в любых областях, а в защите информации особенно.
    - Бифит подвело самостоятельное творчество и попытки "оптимизировать" стандартные алгоритмы.

    Комментарий


    • #3
      >>> - Обсудили, ЛК предложило помощь БИФИТ отказался

      Простите за пикантную подробность, а сколько стоила "помощь"?
      WBR
      serg

      Комментарий


      • #4
        Насколько я понимаю для БИФИТА бесплатно. Было предложено заменить криптографию БИФИТ на криптографию ЛАН Крипто. Естественно, что финальная цена продукта должна была быть поднята. Но здесь БИФИТ подвела политика - "Цены ниже демпинговых". Цена замены криптографии в действующих системах также не обсуждалась, хотя очевидно, что за замену должны были платить банки.
        Принцип дешево хорошо не бывает сработал в очередной раз.
        Тем более смешно, что например СББ покупает у БИФИТ лицензии по 20 $, подключает клиентов по 49 $, берет по 3$ в месяц за обслуживание. Таким образом СББ навривал деньги из воздуха и вот ...

        Комментарий


        • #5
          Вот кстати и ЛАН Крипто заговорило.

          http://www.lancrypto.com/crash.html

          Комментарий


          • #6
            Что это за программа bifitcrack?
            И действительно ли тексты программы для взлома Бифита были выложены на сайте Lancrypto, как следует из Вашего письма?

            Комментарий


            • #7
              bifitcrack по тексту и подписи под ним восстанавливает секретный ключ подписи.
              На сайте ЛАН Крипто ее нет, это МОЯ ошибка, я за нее извиняюсь. Ее там нет, чтобы не развивать нездоровый ажиотаж и не стимулировать атаки на банки, но она может быть передана в банки - пользователи системы БИФИТ.

              Комментарий


              • #8
                Выслушав мнение Волчкова постараюсь ответить только по существу:

                1. История скандала начинается со встречи руководителей компаний на предмет обсуждения условий проведения экспертизы. Говоря о конфиденциальности, я как раз имел в виду несоблюдение Экспертом устных договоренностей. Текущая ситуация всего лишь характеризует Эксперта как "профессионала".

                Или ЛАН Крипто стоит на позиции что Договора с Банком не заключала и никакой экспертизы не проводила? (вроде как оба экземпляра Договора у Вас и возвращать один из них Заказчику Вы не собираетесь)

                А может тогда Ланкрипто просто откуда-то с неба взяла исходники?! Или провела реверс-инжиниринг апплетов, нарушая таким образом авторские права БИФИТа?! А может Вы и не наши исходники смотрели? Или наоборот наши исходники, но после нашего же сообщения, разосланного еще вчера по всем банкам, но опять с реверс-инжинирингом???

                2. В районе 13 июля Волчков попросил нас приехать в гости и обсудить технические моменты. На встрече я был в шоке от пожеланий Волчкова: "Сделайте нам батнички, чтобы мы на вход подавали одни файлы и на выходе получали другие, и чтобы можно было указывать количество итераций".

                После таких "пожеланий", я понял, что вся экспертиза выльется в фарс и пользы на деле, кроме бумажки под названием "Проверено Ланкрипто", будет мало.

                Ведь у ребят были исходники на Java. Я не понимал смысла напрягать нас задачами "сто раз зашифровать" или "сто раз расшифровать", когда есть исходники, бери шифруй и расшифровывай на здоровье хоть тысячу раз! Есть же исходный материал - что хочешь, то и делай!

                3. О помоще. Суть предлагаемой помощи заключалась в эксклюзивном продвижении СКЗИ от Ланкрипто в iBank'е. Наше предложение о просто встраивании на равне с другими СКЗИ было отвергнуто начисто. Про помощь в исправлении бага и речи не было. Было как раз горячее желание нарубить капусты. И как раз от Алексея прозвучало ультимативное требование продавать iBank только с СКЗИ от ЛК.

                Никаких технических подробностей не было сказано. Совсем никаких. Это была БОЛЬШАЯ ТАЙНА, на которой "коллеги" хотели заработать много денег. Одна из поразивших меня фраз - "наш финансовый интерес".

                И еще были эмоциональные заявления типа "Мы вот взломали и можем подделывать подпись". После глупых вопросов, прозвучавших от Волчкова на предыдущей встрече о JCA (Java Cryptography Architecture) и JCE (Java Cryptography Extension), у меня вызывало большое подозрение компетентность Волчкова и правдивость его слов о взломе.

                Что касается веры или не веры БИФИТу. Алексею Волчкову, как большому криптографу должен быть известен постулат, что верят только исходникам. Мы всегда придержиались и придерживаемся этого подхода. И найденный баг, это именно результат подхода разработчика к вопросам открытости исходников. Иначе бы хер кто что нашел.

                О других, не найденных БИФИТом дырах - ждем продолжения от всех желающих, в том числе и от Ланкрипто.

                Что касается судов. Алексей, лично я ни Вас, ни Ланкрипто не не собираюсь ни в какие суды таскать. Это контрпродуктивно.

                Ну устроили Вы пиар, прогнулись. Ну сделали Вы более узвестными БИФИТ и ЛанКрипто (сегодня откуда только не звонили и не писали - начиная от Коммерсанта и РБК, и заканчивая Компьютеррой). А что дальше? Какова цель? Выдавить БИФИТ с рынка Интернет-Банкинга и потом впаривать Ваши несертифицированные ФАПСИ СКЗИ (при этом Ланкрипто не имеет Лицензий ни на проектирование, ни на производство, ни на распространение, ни на техническое обслуживание), основанные на самопридуманных криптоалгоритмах по космическим (IMHO) ценам? Да кому они нужны, эти то криптобиблиотеки (не сертифицированные ФАПСИ и без исходников) без Приложений?

                С уважением, Репан Димитрий
                Компания "БИФИТ" - www.bifit.com
                С уважением, Репан Димитрий
                Компания "БИФИТ" - www.bifit.com

                Комментарий


                • #9
                  Начну с того, что меня лично интересуют голые факты. Я посмотрел как можно больше источников, где были озвучены мнения участников конфликта. Лебедева (Л), Волчкова (В) и Репана (Р). Больше всего ждал от Р. ответа по существу. И вот дождался. Замечу еще, что кроме 'чистого' интереса никаких личных пристрастий не имею и потому постораюсь проанализировать ситуацию без эмоций.

                  Обещанного 'ответа по существу' от Р. не получилось.
                  Факты:
                  - ПЕРВОЕ Обвинять Л. и В. в непрофессионализме - смешно, первый 10 лет на рынке, второй - Президент профессиональной ассоциации за каждым из них опыт, команды специалистов и практика создания и анализа систем защиты информации (стандарты ГазПрома, Беларуси, международные конкурсы и т.д.). Поэтому замечания типа:

                  Текущая ситуация всего лишь характеризует Эксперта
                  как "профессионала".

                  Алексею Волчкову, как большому криптографу должен
                  быть известен постулат:

                  После глупых вопросов, прозвучавших от Волчкова :

                  У меня вызывало большое подозрение компетентность:

                  остаются на Вашей совести и просто говорят о том , что Вы не знаете, кто есть кто в защите информации.
                  - ВТОРОЕ Р. несколько раз упоминает о конфиденциальности анализа в одних источниках и о том, что анализа не было в других, так был анализ или не был.
                  - ТРЕТЬЕ На сайте Р. разместил информацию, о том что Бифит сам нашел ошибку, в то же время в комментариях журналистам говорите, о том что предлагали Л. и В. деньги, за что ?
                  - ЧЕТВЕРТОЕ, Что это за история с договором невидимкой. На наши банки непохоже, чтобы они теряли договоры.
                  - ПЯТОЕ Проверить что за исходники у Л. и В. просто, благо у Бифит есть сертификат разработчика и аплеты должны быть подписаны. Если это так, то значит аплеты Бифиттовские, нет так нет.
                  - ШЕСТОЕ Про 'батнички' специалисту в защите информации все ясно - от Р. потребовали реализовать тесты для проверки на соответствие реализаций каких-то алгоритмов (скорее всего ГОСТов). Очевидно, что для сравнения реализации Бифита и неких эталонов реализация должна исходить от Бифита. Так что Вы Р. просто видимо никогда не сталкивались с методиками тестирования алгоритмов защиты, что еще раз говорит не в Вашу пользу.
                  - СЕДЬМОЕ Заявления типа 'прогнулись' не в Вашу пользу уважаемый Р. Я уже писал, что это скорее Вы, прогнулись перед ФАПСИ, В. меня процитировал и начал эту дискуссию.
                  - ВОСЬМОЕ Рынок iBank может быть потенциально интересен для Л., но основные его интересы в других областях, поэтому вряд ли коммерческие предложения формулировались именно так, как говорит Р., Л. не наивный мальчик и понимает чего от рынка можно ждать, а чего нет.
                  - ДЕВЯТОЕ С какой стати Л. будет бесплатно помогать кому либо, он коммерсант.
                  - ДЕСЯТОЕ Про позицию ФАПСИ на рынки защиты информации всем давно все ясно, поэтому ратуя за 'сертифицированность' СКЗИ (Р., Вы даже на их терминологию перешли) Р. выглядит смешно.
                  - ОДИННАДЦАТОЕ Не обвиняйте огульно Всех, кто не распространяет исходники, это нелепо.

                  ВЫВОДЫ:
                  1. БИФИТ взломали
                  2. БИФИТ внятно не объяснил свою позицию

                  Комментарий


                  • #10
                    Судя по Всему есть первые жертвы. Насколько стало известно в одном из банков "пострадали" автоматизаторы продвинувшие решения БИФИТА. Вот уж у кого претензий к ЛАН Крипто должно быть много.

                    Комментарий


                    • #11
                      Судя по всему , Cryptolog совсем не посторонний.

                      Особенно если учесть, что он зарегистрировался только вчера (видимо, специально, чтобы принять участие в этой дискуссии) и имеет инсайдерскую информацию из банков.

                      Модератор, будте добры, посмотрите по ip:
                      Cryptolog=LAN Crypto или нет ?

                      Комментарий


                      • #12
                        Нет не равно, я как бы это сказать действующий сторудник, люблю знаете ли в рабочее время по тематике пообщаться.

                        Комментарий


                        • #13
                          Ну то есть ранее просто ник был другой?

                          Комментарий


                          • #14
                            Да нет, я как бы сюда не хаживал, более на www.sec.ru подвизаюсь, там да ник другой, но кстати cryptologa там продублировал для единообразия (как в армии).

                            На этот форум www.google.com ссылку выкинул по поиску "БИФИТ взлом". Так и прижился. А инсайдерская информация от коллег. Ранее в отделе около 90 человек было, а сейчас из них человек 40 по банкам.

                            Комментарий


                            • #15
                              Постараюсь внятно объяснить позицию БИФИТа.

                              отправил Cryptlog
                              Факты:
                              - ПЕРВОЕ Обвинять Л. и В. в непрофессионализме - смешно, первый 10 лет на рынке, второй - Президент профессиональной ассоциации за каждым из них опыт, команды специалистов и практика создания и анализа систем защиты информации (стандарты ГазПрома, Беларуси, международные конкурсы и т.д.).
                              У меня нет цели публично демонстрировать непрофессионализм указанных господ. Они сами это сделали.

                              - ВТОРОЕ Р. несколько раз упоминает о конфиденциальности анализа в одних источниках и о том, что анализа не было в других, так был анализ или не был.
                              В рамках заказанной СДМ-Банком экспертизы у ЛАН КРипто мы сами передали в ЛАН Крипто все исходники. В ЛАН Крипто действительно выявили баг, связанный с использованием в процедуре формирования ЭЦП некриптостойкого датчика при формировании случайного k.

                              Именно на возможности предсказать k и строилась атака по восстановлению секретного ключа. Именно для этого и нужен сам документ (вернее хэш от него), и ЭЦП. Как восстанавливать рассказывать?

                              Технические комментарии Лебедев с Волчковым отказались делать. Ибо у них были "свои интересы" (как потом выяснилось по продвижению СКЗИ ЛК).

                              - ТРЕТЬЕ На сайте Р. разместил информацию, о том что Бифит сам нашел ошибку, в то же время в комментариях журналистам говорите, о том что предлагали Л. и В. деньги, за что ?
                              Поняв, что помощи ждать от ЛК бессмысленно, мы сами провели тщательнй анализ и выявили баг с предсказуемостью k. Исправив баг, отослали в ЛК контрольное сообщение для взлома. Ребята до сих пор ломают его

                              О деньгах. В разговоре только упоминали ценовые политики компаний и на продукты, и спорили о ценообразовании, привязывая СКЗИ не к кол-ву клиентов, а давая анлимитед на банк за приемлемую сумму. И я уж точно, кто меня лично знает, никакие деньги никому не стал бы давать за молчание.

                              - ЧЕТВЕРТОЕ, Что это за история с договором невидимкой. На наши банки непохоже, чтобы они теряли договоры.
                              Автоматизаторы банка по своему недосмотру не забрали у Лебедева банковский экземпляр Договора. Почему Лебедев не отдал Олегу экземпляр в понедельник вечером - надо у Лебедева спросить. По всей видимости решил развязать себе руки, а издержки отбить на пиаре.

                              - ПЯТОЕ Проверить что за исходники у Л. и В. просто, благо у Бифит есть сертификат разработчика и аплеты должны быть подписаны. Если это так, то значит аплеты Бифиттовские, нет так нет.
                              Согласен. Так тоже можно поступить. Но Лебедеву нет смысла отпираться от Договора и экспертизы. Иначе можно уличить его в реверс-инжиниринге и нарушении авторских прав БИФИТа.

                              - ШЕСТОЕ Про 'батнички' специалисту в защите информации все ясно - от Р. потребовали реализовать тесты для проверки на соответствие реализаций каких-то алгоритмов (скорее всего ГОСТов). Очевидно, что для сравнения реализации Бифита и неких эталонов реализация должна исходить от Бифита. Так что Вы Р. просто видимо никогда не сталкивались с методиками тестирования алгоритмов защиты, что еще раз говорит не в Вашу пользу.
                              Это то я как раз прекрасно понимал. Ребята просто хотели прогнать несколько сот раз тестовые примеры и сравнить результаты. И это бы было лажей. Именно поэтому я "уперся рогом" и сказал Бородавкину Андрею (тех. директор БИФИТа), пусть Волчков реально поковыряется с исходниках, может чего накопает. Он действительно накопал. Молодец. Я ему искренне благодарен. Но вот дальнейшие действия и истерическое поведение испортили всю картину.

                              Второе. Если Волчков большой спеиалист, у него не должно было возникнуть и вопросов, как 100 раз прогнать метод sign(), verify() и т.д. Ведь дали самое главное. Оболочку можно было слепить любую и самому.

                              - СЕДЬМОЕ Заявления типа 'прогнулись' не в Вашу пользу уважаемый Р. Я уже писал, что это скорее Вы, прогнулись перед ФАПСИ, В. меня процитировал и начал эту дискуссию.
                              Да нет у меня цели прогибаться перед ФАПСИ, бред это всё
                              Что БИФИТ будет с этого иметь?

                              - ВОСЬМОЕ Рынок iBank может быть потенциально интересен для Л., но основные его интересы в других областях, поэтому вряд ли коммерческие предложения формулировались именно так, как говорит Р., Л. не наивный мальчик и понимает чего от рынка можно ждать, а чего нет.
                              После того, как один из банков, преобретавший ранее у ЛК по нескольку десятков ЭЦП в месяц, установил iBank и перестал покупать ЭЦП, ЛК явно оказался не в плюсе. Рынок ЛК - это рынок решений для юрлиц. Кроме как в К-Б, я не знаю, где еще можно сотными и тысячами продавать ЭЦП. В ПФ или другой госинститут - не сунешься, там необходим Сертификат ФАПСИ.

                              - ДЕВЯТОЕ С какой стати Л. будет бесплатно помогать кому либо, он коммерсант.
                              Еще какой

                              - ДЕСЯТОЕ Про позицию ФАПСИ на рынки защиты информации всем давно все ясно, поэтому ратуя за 'сертифицированность' СКЗИ (Р., Вы даже на их терминологию перешли) Р. выглядит смешно.
                              А может всё-таки правильнее стремиться соблюдать законы? Если законы не нравятся - сделайте новые. Dura sex, sed sex..

                              - ОДИННАДЦАТОЕ Не обвиняйте огульно Всех, кто не распространяет исходники, это нелепо.
                              Мы не обвиняем. Мы призываем. Можете присоединяться, можете нет. Open Source - это не значит Freeware. Что мешает тому же ЛК опубликовать исходники, а потом Лицензировать их использование разработчикам прикладных систем?!

                              Я как разработчик, потянусь к тому СКЗИ, которое как минимум открыто, известно и ему все доверяют. Если я делаю Интернет-Банкинг, мне наоборот выгоднее поднять "знамя ислама" в лице купленной Лицензии у одного из известных разработчиков.

                              Те, кому нужна просто криптография - найдут её в Инете в любом количестве. Те, кому нужна криптография от известных компаний - не скрывают факт использования таковой, и готовы за это платить. Даже реалти.

                              ВЫВОДЫ:
                              1. БИФИТ взломали
                              2. БИФИТ внятно не объяснил свою позицию
                              Уточню:
                              1. Из-за найденного бага есть возможность по хешфункции и ЭЦП востановить секретный ключ ЭЦП. Баг пофиксили.

                              2. Постарался этим письмом в очередной раз внятно объяснить ситуацию.

                              С уважением, Репан Димитрий
                              Компания "БИФИТ" - www.bifit.com
                              С уважением, Репан Димитрий
                              Компания "БИФИТ" - www.bifit.com

                              Комментарий


                              • #16
                                Димитрий! Большое спасибо за комментарии. Они не только в Ваших интересах, но также и в интересах банков и клиентов.
                                Тем не менее, прошу Вас уточнить некоторые утверждения.

                                ------ У меня нет цели публично демонстрировать
                                ------ непрофессионализм указанных господ. Они сами это
                                ------ сделали.

                                В чем непрофессионализм Л. и В. По моему кракнули все грамотно.

                                ------ Ребята до сих пор ломают его

                                Если сломают, боюсь тогда это действительно Ваш финал. Но даже если не сломают, чем Вы сможете гарантировать, что сейчас система надежна. Кроме того, простите, но у Вас в системе действительно реализован не ГОСТ на подпись (в части датчика случайных чисел), а что-то весьма от этого далекое. А ДСЧ в криптографии это одно из ключевых (каламбур получился) мест.

                                ------ Это то я как раз прекрасно понимал. Ребята просто
                                ------ хотели прогнать несколько сот раз тестовые примеры и
                                ------ сравнить результаты. И это бы было лажей

                                Это утверждение Димитрий говорит о том, что в защите информации и тестировании систем защиты информации Вы, мягко говоря, некомпетентны. Метод сравнения контрольных примеров - основа для тестирования криптоалгоритмов. Посмотрите например на методики тестирования DES на соответствие на сайте NIST США. Также важным требованием является предоставление для тестирования СОБСТВЕННОРУЧНО написанных до последнего знака примеров, поэтому то, что Вы ошибочно принимаете за неграмотность, есть четко определенная позиция эксперта. Кстати про В. ничего не могу сказать, но вот у Л. команда программистов одна из лучших в России, так что упрекать их неразумно.

                                ------Да нет у меня цели прогибаться перед ФАПСИ, бред это
                                ------всё Что БИФИТ будет с этого иметь?

                                Вот именно хотелось бы знать что. Поскольку истерика о несоблюдении закона это только истерика.

                                ------В ПФ или другой госинститут - не сунешься, там
                                ------необходим Сертификат ФАПСИ.
                                ------А может всё-таки правильнее стремиться соблюдать
                                ------законы? Если законы не нравятся - сделайте новые

                                Я не симпатизирую Л. или В., но их позиция в отношении законов, намного понятнее, чем Ваша или ФАПСИ. Лицензия ГТК у Л. есть, сертификаты есть, выигранные у ФАПСИ судебные процессы есть, крупные госзаказчики есть.

                                ------ После того, как один из банков, приобретавший ранее у
                                ------ ЛК по несколько десятков ЭЦП в месяц, установил iBank и
                                ------ перестал покупать ЭЦП, ЛК явно оказался не в плюсе

                                По разным источникам у Л. от 500 до 1000 продаж в месяц, не считая крупных контрактов, продаж через дилерскую сеть и косвенную торговлю лицензиями. Поэтому потеря нескольких десятков клиентов в месяц это не смертельно. По сведениям газеты "Ведомости" 60% рынка ЭЦП принадлежит компании "ЛАН Крипто"

                                ------ Что мешает тому же ЛК опубликовать исходники

                                Кстати Л. это не раз делал, в том числе на конкурсах AES и CryptoNessie, где от России он представлен один.

                                ------ Если я делаю Интернет - Банкинг, мне наоборот
                                ------ выгоднее поднять "знамя ислама" в лице купленной
                                ------ Лицензии у одного из известных разработчиков.

                                И где это Ваше знамя.

                                ------ И я уж точно, кто меня лично знает, никакие деньги
                                ------ никому не стал бы давать за молчание.
                                'В ХОДЕ ЧАСТНОЙ БЕСЕДЫ, ПО СЛОВАМ ДМИТРИЯ РЕПАНА, КОМПАНИЯ ПРЕДЛАГАЛА "ЛАН КРИПТО ДЕНЬГИ ЗА СОБЛЮДЕНИЕ КОНФИДЕНЦИАЛЬНОСТИ' (процитировано с http://www.cnews.ru/topnews/2001/08/15/content4.shtml).

                                Из текста Вашего делаю Выводы:
                                1. БИФИТ взломали
                                2. БИФИТ вынужден оправдываться (теперь уже более внятно)
                                3. Лично Вы не до конца искренни
                                4. БИФИТ в данное время не может гарантировать надежности защиты информации

                                С уважением, Cryptolog.

                                Комментарий


                                • #17
                                  Господа!

                                  Ошибки делают все. Пиар, похоже, тоже.

                                  Это понятно. По человечески мне понятна позиция БИФИТА и Дмитрия, тем более, что он выступает больше как представитель бизнеса, а не как представитель профессиональной тусовки криптоаналитиков. Думаю, что БИФИТ сделает правильные выводы из случившегося.

                                  А вот теперь вопрос - я человек тёмный и хоть и давно работаю в СБСе, но с криптоаналитиком Алексеем Волчковым не знаком - хотя, наверное, по роду некоторых выполняемых мною функций должен был бы пересекаться. Может кто объяснит, что такое Ассоциация "Русскрипто" и каков у нее интерес в данном ПР-событии?
                                  --* Never say never again...

                                  Комментарий


                                  • #18
                                    отправил Cryptolog
                                    Я не симпатизирую Л. или В....
                                    Точно. Вы не симпатизируете Л. и В., вы им соловьинную песню здесь поете

                                    И не тужтесь Вы так...

                                    Лицензия ГТК у Л. есть, сертификаты есть, выигранные у ФАПСИ судебные процессы есть, крупные госзаказчики есть.
                                    Деятельность, связанную с СКЗИ, лицензирует исключительно ФАПСИ. Почитайте для определенности нормативные документы ФАПСИ.

                                    Так вот Лицензий ФАПСИ у Л. нету. Сетификатов соответствия ФАПСИ у Л. нету. И о каких это выигранных Л. судебных процессах против ФАПСИ вы здесь упомянули?!

                                    Кроме того, простите, но у Вас в системе действительно реализован не ГОСТ на подпись (в части датчика случайных чисел)
                                    Ага, уже выводы пошли о наших исходниках. Логично предположить, что Вы их смотрели. Уж не в ЛАН Крипто ли Ну и расскажите как работает наш SecureSeed ?

                                    Если сломают, боюсь тогда это действительно Ваш финал.
                                    Финал чего? Ведь с Ваших слов БИФИТу уже раз десять пришел финал. Причем вдоль и поперек. И в обе стороны

                                    По разным источникам у Л. от 500 до 1000 продаж в месяц, не считая крупных контрактов, продаж через дилерскую сеть и косвенную торговлю лицензиями.
                                    1000 подписей в месяц, говорите. Это даже если по 50$, и то 50k$ получается только с прямых продаж. Ну а крупные контракты + реалти - это еще столько же. Да, не плохо, сотка килобаксов в месяц.

                                    Только что-то я не приметил ферари и ламбирджини у офиса ЛК

                                    По сведениям газеты "Ведомости" 60% рынка ЭЦП принадлежит компании "ЛАН Крипто"
                                    Интересно, откуда уважаемая газета получила сведения о 60%? Не с сайта ли ЛК?

                                    Что касается цитаты с синьюса - здесь и я был поражен. Ну ладно про факс сморозили. Ну еще по мелочам всяким туфты добавили. Но это, видать было "напоследок", для, так сказать, полноты картины.

                                    С уважением, Репан Димитрий
                                    Компания "БИФИТ" - www.bifit.com
                                    С уважением, Репан Димитрий
                                    Компания "БИФИТ" - www.bifit.com

                                    Комментарий


                                    • #19
                                      По человечески мне понятна позиция БИФИТА и Дмитрия, тем более, что он выступает больше как представитель бизнеса, а не как представитель профессиональной тусовки криптоаналитиков

                                      А мне нет. Если не профессионал, то и не лезь не в свое дело. Формулировка "Сделал правлильные выводы", это типа детский сад "простите больше не буду!", а больше уже и не надо.

                                      Комментарий


                                      • #20
                                        Деятельность, связанную с СКЗИ, лицензирует исключительно ФАПСИ. Почитайте для определенности нормативные документы ФАПСИ.

                                        То есть понятно, весь мир живет по конституции и закону, а Димитрий по нормативным документам ФАПСИ. Это РАЗ

                                        Что касается цитаты с синьюса - здесь и я был поражен. Ну ладно про факс сморозили. Ну еще по мелочам всяким туфты добавили. Но это, видать было "напоследок", для, так сказать, полноты картины.

                                        То есть Бифит обижают все Л., В., Cryptolog, Elcomsoft и журналисты, а он такой хороший и только он говорит правду.

                                        Да, не плохо, сотка килобаксов в месяц.
                                        Деньги Л. я не считал, да и в офисе у него года четыре не был.
                                        Но если оценить объем рынка систем защиты в России в 3000000 долларов в год, а у ЛК его пусть не 60%, а 40%, то так и выходит. Впрочем эта тема другой дискуссии.
                                        И о каких это выигранных Л. судебных процессах против ФАПСИ вы здесь упомянули?!
                                        Ну например процесс в антимонопольном комитете.
                                        http://www.libertarium.ru/libertarium/crypto

                                        Интересно, откуда уважаемая газета получила сведения о 60%? Не с сайта ли ЛК?
                                        Видимо наоборот на сайте ЛК, ссылка на газету.


                                        ГЛАВНОЕ
                                        Уважаемый Димитрий, дело опять таки в том что все, что Вы пишите это эмоции. А факты против Вас.

                                        Комментарий


                                        • #21
                                          А мне нет. Если не профессионал, то и не лезь не в свое дело. Формулировка "Сделал правлильные выводы", это типа детский сад "простите больше не буду!", а больше уже и не надо.

                                          Я не понимаю, откуда такая агрессивность и я бы даже сказал, юношеская горячность?
                                          Ошибки делают все, не делает их тот, кто ничего не делает. Чужая душа - потёмки. Кому это всё выгодно - сейчас мы всё равно не узнаем. Тот же MS пачками рассылает Security Bulletin - и ничего, продукты продаются и покупаются (так же, как и, например, небезызвестный LophtCrack)...

                                          Продукты ЛК и Бифита имеют разные рыночные ниши. Разные. Еще раз повторю - раз-ны-е. Поэтому продаваться сейчас будет и то, и то. В любом случае - спрос есть, а вкладывать большие деньги в массовый продукт с неизвестным сроком окупаемости ни один банк не будет - не то время...

                                          г-н Репан - представитель бизнеса, а не криптоаналитик. Бизнес - этот тот, кто _делает_продажи_ и кормит разработчиков софта. И откуда взят алгоритм ГСЧ - из Кнута, интернета или куплен у супер-пупер фирмы N - в принципе не его дело, а дело разработчиков софта. Как бизнесмен он - профессионал.
                                          --* Never say never again...

                                          Комментарий


                                          • #22
                                            г-н Репан - представитель бизнеса, а не криптоаналитик
                                            Правильно
                                            Бизнес - этот тот, кто _делает_продажи_ и кормит разработчиков софта
                                            Правильно
                                            И откуда взят алгоритм ГСЧ - из Кнута, интернета или куплен у супер-пупер фирмы N - в принципе не его дело, а дело разработчиков софта.
                                            Не совсем. Если заявлено, что реализован ГОСТ, то ГСЧ только из ГОСТА, а никак не из Кнута.
                                            Как бизнесмен он - профессионал
                                            Неверно. Профессионалы гнильем не торгуют.

                                            С Уважением Cryptolog.

                                            Комментарий


                                            • #23
                                              Уважаемый Cryptolog!

                                              Профессионалы гнильем не торгуют

                                              1. Я давно занимаюсь разработкой и сопровождением ПО. Утверждаю, что в любом софте есть ошибки.

                                              2. Согласно появившейся достаточно давно информации при реализации подсистем шифрования в сетях GSM были использованы ослабленные алгоритмы шифрования. Позвольте полюбопытствовать - какой сети у Вас телефон? "Сонет"?

                                              3. Я не криптоаналитик, хотя кое-какие знания в этой области имею. В случае необходимости пользуюсь консультациями профессионалов. На профессиональную суть дискуссии я не посягаю, но не стоит она выеденного яйца. Найдена ошибка - скорее всего ГСЧ инициализируется нулевым значением, либо используются хреновые коэффициенты и последовательность быстро начинает повторяться - её исправили...

                                              Ну? Всё? Всё...
                                              В сегодняшнем Security Bulletin от MS был патч на 5 ошибок, каждая из которых могла стоить доступа к системе и данных - никто такого флейма не разводил...

                                              PS: Чуть выше я писал, что Алексея Волчкова по СБС я не знал -уточняю - это не значит, что в СБС он не работал. Он в нем работал - это факт. Просто в своей сфере деятельности мы с ним не пересекались.
                                              --* Never say never again...

                                              Комментарий


                                              • #24
                                                Rzhevsky
                                                Мне импонирует Ваша любовь к истине.
                                                Давайте же разберемся в ситуации. То что MS ломают по десять раз на день, это факт, но во первых MS это уникум (не значит что хороший, просто уникум и все), во вторых защита с боку припеку и поставляется без всяких гарантий. Аналогично с телефонами, Вам где то обещали безопасность, кроме как в Сонете, да и там если ковырнуть все несвежее. А вот Репан тут на форуме такие "пальцы" делал, что не подойди.
                                                Кстати, процитирую их творчество на http://www.sdm.ru/SDM-Int-Sec.htm

                                                "Мы можем Вас уверить, что СДМ-Банк сделал все, чтобы услуга "Управление счетом через Интернет" была надежно защищена. И ее безопасность соответсвовала российским ГОСТам по криптографии ( ГОСТ 34.10 - 94, ГОСТ 34.11 - 94, ГОСТ 28147- 89). Это очень высокий уровень безопасности"

                                                И вот Дмитрий нарывается на "железный кулак", кричит все сволочи, христопродавцы, а по существу расплачивается за несоответствие продаваемого продукта заявленным свойствам.

                                                Cryptolog

                                                Комментарий


                                                • #25
                                                  ...а по существу расплачивается за несоответствие продаваемого продукта заявленным свойствам

                                                  по существу - да...
                                                  однако - IMHO - поднимать такой шум не стоило...
                                                  достаточно было просто выдержанного пресс-релиза от ЛК и полного игнора журналистской истерии. И это - опять же - IMHO - гораздо более укрепило бы репутацию той же ЛК в глазах профессионалов (или не очень), "принимающих решения".

                                                  А что до клиентов - то им - всё равно... Ну вот, например, в прошлом году в сети МТС несколько дней на моём симменсе горел "-!-" - и что - все клиенты массово побежали в Би?

                                                  С уважением, Rzhevsky
                                                  --* Never say never again...

                                                  Комментарий


                                                  • #26
                                                    To cryptolog:

                                                    на мой взгляд, Бифит пострадал не за "несоостветствие продукта заявленным свойствам", а скорее за агрессивную маркетинговую политику. "Пальцы" им вспоминают и пр.

                                                    До их прихода на рынок К-Б Бифита он (рынок) напоминал закрытый клуб специалистов, по умолчанию считающих друг друга крутыми и потихоньку "впаривающих фуфло лохам", благо никто их особо проверить не мог.

                                                    Пришел г-н Репан, попрал устои и его теперь карают как еретика

                                                    Сама история с багом - чистый пиар и похожа на то, как если бы обнаружилось, что мерседесу можно гвоздем проколоть колесо и был раздут грандиозный скандал.

                                                    А реальные факты:
                                                    1/ Бифит СОЗНАТЕЛЬНО ставил себя под удар с тем, чтобы его продукт разобрали по косточкам - факт. Согласен, сами нарвались, но за одного битого двух небитых дают. Кроме того с такой тщательностью НИ ОДИН продукт не проверялся.
                                                    2/ Он сам передал исходники ЛАН Крипто для экспертизы - факт. Жалко, что ЛАН Крипто имеет размытые представления о честной конкуренции и порядочности и история предана огласке.
                                                    3/ Декларируемый баг устранен за один день - факт. Кстати, ничего внятного по поводу использования этой ошибки для проведения конкретной атаки как не было, так и нет. Файла bifitcrack и т.п. я тоже не нашел нигде. Больше слов, нежели реальных примеров и доказательств.

                                                    Фактически, достоверно известно только что был баг, который устранен. Все остальное эмоции, в основном тех, кто не приемлет либо Бифит, либо его продукт, либо персонально г-на Репана...

                                                    Я думаю, что эта история явно обнажила "нутро" рынка, а точнее "лицо" его наиболее старых игроков. То, КАК преподносится информация - отдельная история.

                                                    Бифит, кстати, при правильном подходе может ВЫИГРАТЬ от этой ситуации, поскольку на сегодняшний момент это ЕДИНСТВЕННАЯ компания прошедшая РЕАЛЬНУЮ проверку "заявленных свойств продукта", а ее реакция на происходящее АДЕКВАТНАЯ

                                                    Алексей

                                                    Комментарий


                                                    • #27
                                                      А что до клиентов - то им - всё равно...
                                                      Вот тут не соглашусь, насколько я понял Банки уже поимели проблемы, после поимели своих сотрудников (автоматизаторов и безопасников), а потом все хором поимели Д.Р.

                                                      Комментарий


                                                      • #28
                                                        Бифит, кстати, при правильном подходе может ВЫИГРАТЬ от этой ситуации, поскольку на сегодняшний момент это ЕДИНСТВЕННАЯ компания прошедшая РЕАЛЬНУЮ проверку "заявленных свойств продукта", а ее реакция на происходящее АДЕКВАТНАЯ

                                                        Это же как он выиграет. Здесь прошу поробнее. Пока он только сливает.

                                                        РЕАЛЬНУЮ проверку они не прошли, потому что от сотрудничества со специалистами отказались и залепили дыру на коленке.

                                                        То что исправленный продукт не соотвествует описанию, т.е. не реализует ГОСТ, простите проверил сегодня сам, поскольку верю только фактам.

                                                        как если бы обнаружилось, что мерседесу можно гвоздем проколоть колесо и был раздут грандиозный скандал.

                                                        Правильно сказать так, как если бы обнаружилось, что у мерседеса двигатель самопроизвольно взрывается.

                                                        Фактически, достоверно известно только что был баг, который устранен

                                                        Вот это как раз и хотелось бы услышать от Д.Р. Еще раз скажу
                                                        даже исправленный продукт не соотвествует описанию

                                                        Комментарий


                                                        • #29
                                                          Бифит, кстати, при правильном подходе может ВЫИГРАТЬ от этой ситуации, поскольку на сегодняшний момент это ЕДИНСТВЕННАЯ компания прошедшая РЕАЛЬНУЮ проверку "заявленных свойств продукта", а ее реакция на происходящее АДЕКВАТНАЯ

                                                          Прошу прощения, Алексей, но, если Вы делаете такие заявления, то Вам, очевидно, известен текст злосчастного договора между ЛК и банком а также достоверно известно, что другие разработчики подобных либо более сильных экспертных проверок "заявленных свойств продукта" не проходили. Прошу подтвердить или опровергнуть.

                                                          Также замечу, что корректная работа с криптографией является не единственным из "заявленных свойств продукта" для интернет-банкинга.

                                                          Комментарий


                                                          • #30
                                                            РЕАЛЬНУЮ проверку они не прошли, потому что от сотрудничества со специалистами отказались и залепили дыру на коленке.

                                                            По словам г-на Репана, предлагаемое "сотрудничество" было по сути чистым шантажом: Берите наш продукт - мы замолчим о ваших трудностях. Он их послал и был прав. Хотя и получил из всех калибров.

                                                            Кстати, уважаемый cryptolog, вы никак не прокомментровали мои предположения о причинах такого шумного разбирательства. Ваше активное и неустанное участие в форуме говорит, что вы здесь работаете возможно с вполне конкретными целями и задачами, а не общаетесь с коллегами. Не хотелось бы в это верить, но выглядит именно так

                                                            исправленный продукт не соотвествует описанию

                                                            а это уже ближе к теме. Я сам не проверял, но тоже не прочь увидеть комментарии от Бифита

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X